On April 6th 2012, the Dutch government responded (.pdf, in Dutch) to the Dutch Council on Int’l Affairs’ Advice On Digital Warfare. Unfortunately, that response is currently only available in Dutch. I decided to translate it to English myself: see below. Hyperlinks are mine.

WARNING: this is an unofficial translation.

Dutch Government response to the Dutch AIV / CAVV advice on Digital Warfare
Original Dutch: “Kabinetsreactie op het AIV/CAVV-advies Digitale Oorlogvoering”

On January 17th a joint committee of the Dutch Advisory Council on International Affairs (AIV) and the Dutch Advisory Committee on Issues of Public International Law presented the advice ‘Digital warfare’. The government acknowledges the committee for the sound advice. It is a valuable contribution to the debate on digital security and helps the government to clarify and strengthen the policy on this terrain. The advice is an addition to the Dutch National Cyber Security Strategy, that focused on protection of national security and the fight against cybercrime (Kamerstuk 26643, nr. 174). Also, it is an addition to the legal framework for cybersecurity that was sent to the Parliament on December 23rd (Kamerstuk 26643, nr. 220).
Original Dutch: “Op 17 januari heeft een gezamenlijke commissie van de Adviesraad voor Internationale Vraagstukken (AIV) en de Commissie van Advies inzake Volkenrechtelijke Vraagstukken (CAVV) het advies ‘Digitale oorlogvoering’ gepresenteerd. Het kabinet is de commissie erkentelijk voor het gedegen advies. Het levert een waardevolle bijdrage aan de discussie over digitale veiligheid en helpt het kabinet het beleid op dit terrein te verhelderen en te versterken. Het advies vormt een aanvulling op de Nationale Cyber Security Strategie, waarin de bescherming van de nationale veiligheid en de bestrijding van cybercrime centraal staan (Kamerstuk 26643, nr. 174). Het vormt tevens een aanvulling op het juridisch kader cyber security zoals dat op 23 december aan de Tweede Kamer is gezonden (Kamerstuk 26643, nr. 220).”

1. Summary
Original Dutch: “1. Samenvatting”

The main points of the cabinet response are as follows:

• The digital threat requires an integrated approach. The advice is an addition to the national approach. The current crisis management structure will be held against this light;

• The digital domain is a new operational domain for the armed forces. The Ministry of Defense is investing to significantly strengthen existing capabilities and develop new ones (including offensive);

• The right to self-defense also applies to cyberattacks;

• The Dutch administration does not see necessity of a new global cybertreaty. However, it will pursue practical implementation of the application of international law in the digital domain;

• The NATO cyberpolicy is defensive, but eventually a debate is needed about the use of offensive capabilities. Article 5 also applies to cyberattacks;

• An integrated EU-approach is necessary.

Original Dutch: “De hoofdpunten van de kabinetsreactie zijn als volgt:
–  De digitale dreiging vereist een integrale aanpak. Het advies betreft een aanvulling op de nationale aanpak. De huidige crisisbeheersingsstructuur zal hiertoe tegen het licht worden gehouden;
–  Het digitale domein is een nieuw operationeel domein voor de krijgsmacht. Defensie investeert om bestaande capaciteiten aanzienlijk te versterken en nieuwe (waaronder offensieve) te ontwikkelen;
–  Het recht op zelfverdediging is ook van toepassing op cyberaanvallen.
–  Het kabinet ziet geen noodzaak tot een nieuw wereldwijd cyberverdrag. Wel zal het kabinet inzetten
op praktische uitwerking van de toepassing van internationaalrechtelijke bepalingen in het digitale
domein;
–  Het NAVO cyberbeleid is defensief, maar op termijn is een discussie over het gebruik van offensieve
capaciteiten nodig. Artikel 5 is ook van toepassing op cyberaanvallen.
–  Een integrale EU-aanpak is noodzakelijk. “

2. The digital threat
Original Dutch: “2. De digitale dreiging”

The increasing threat against national stakes in the digital domain and the rise of the number of (complex) digital attacks worries the government. Espionage, sabotage, crime and terrorism using digital means are a direct threat to national security. This was established in, among others, the first Cyber Security Assessment Netherlands (CSBN) that was published in December 2011 (Kamerstuk 26 643, nr. 220). Without playing down the severity of the threat, the government endorses the committee’s observation that further research on the digital threat is necessary. The CSBN is an important instrument for this, developed under coordination of the Dutch National Cyber Security Centre. The CSBN will be developed further in the coming years, with emphasis on quantitative and qualitative improvement of this instrument.
Original Dutch: “De toenemende dreiging tegen nationale belangen in het digitale domein en de stijging van het aantal (complexe) digitale aanvallen baren het kabinet zorgen. Spionage, sabotage, misdaad en terrorisme langs digitale weg vormen een directe bedreiging voor de nationale veiligheid. Dit werd onder meer geconstateerd in het eerste Cyber Security Beeld Nederland (CSBN) van december 2011 (Kamerstuk 26 643, nr. 220). Zonder af te doen aan de ernst van de dreiging, onderschrijft het kabinet de constatering van de commissie dat nader onderzoek naar de digitale dreiging wenselijk is. Het CSBN is hiervoor een belangrijk instrument, dat onder coördinatie van het Nationaal Cyber Security Centrum wordt opgesteld. Het CSBN zal de komende jaren verder worden ontwikkeld, waarbij nadrukkelijk wordt ingezet op een kwantitatieve en kwalitatieve verbetering van dit instrument.”

For the Netherlands, with its open and internationally oriented economy and a strong services sector, a safe and proper functioning digital infrastructure is essential. The integrated approach documented in the National Cyber Security Strategy remains the starting point for government policy. On that ground the National Cyber Security Centre was established, where public and private parties collaborate. A joint public-private and civil-military approach is necessary because the nature of a digital attack will not always be clear, nor how extensive and sophisticated it is, nor what the end goal of the attack is (criminal, ideological, military or political). This makes it difficult to determine the (legal) ground and means of response. In organizing a joint approach, it is of importance that roles, tasks and responsibilities are clear. Here, at initiative of the National Coordinator Counterterrorism (NCTV), it will be considered whether the current crisis management structure suffices for quickly and effectively making a large-scale digital disturbance manageable. As the committee rightly states, it is of importance to also invest in a coherent cyberdiplomacy.
Original Dutch: “Voor Nederland, met een open en internationaal georiënteerde economie en een sterke dienstensector, is een veilige en goed functionerende digitale infrastructuur essentieel. Uitgangspunt voor het kabinetsbeleid blijft de integrale benadering zoals vastgelegd in de Nationale Cyber Security Strategie. Op grond hiervan is onder andere het Nationaal Cyber Security Centrum opgericht, waarbinnen publieke en private partijen samenwerken. Een gezamenlijke, publiek-private en civiel-militaire aanpak is noodzakelijk aangezien niet altijd duidelijk zal zijn wat de aard van een digitale aanval is, hoe uitgebreid en geraffineerd deze is en wat het uiteindelijke doel van de aanvaller is (crimineel, ideologisch, militair of politiek). Dit maakt het moeilijk te bepalen op welke (juridische) grond en met welke middelen moet worden gereageerd. Bij het organiseren van een gezamenlijke aanpak is het van belang dat rollen, taken en verantwoordelijkheden helder zijn. In dit kader zal, op initiatief van de NCTV, worden bezien of de huidige crisisbeheersingsstructuur afdoende is voor het snel en effectief beheersbaar maken van een grootschalige digitale verstoring. Zoals de commissie terecht stelt, is het daarnaast van belang te investeren in een samenhangende cyberdiplomatie.”

3. Operational domain for the armed forces
Original Dutch: “3. Operationeel domein voor de krijgsmacht”

The extensive use of IT enables the Ministry of Defense to fulfill its tasks more effectively and efficiently, but also entails increased vulnerability. The digital domain is therefore fundamental for the armed forces. Without proper functioning IT infrastructure, the armed forces simply cannot fulfill its tasks. Nearly all weapons and sensory systems function thanks to the use of IT components, and command and logistical support depend on digital systems too. Hence, a disturbance of the IT infrastructure of the armed forces will endanger striking force and continuity. Therefore, in the digital domain, the Ministry of Defense must guarantee reliability of own networks, (weapons and control) systems and information, as well as prevent theft of information.
Original Dutch: “Het grootschalig gebruik van ICT stelt Defensie in staat haar taken effectiever en efficiënter uit te voeren maar zorgt ook voor een grotere kwetsbaarheid. Het digitale domein is derhalve van fundamenteel belang voor de krijgsmacht. Zonder goed functionerende ICT-infrastructuur kan de krijgsmacht haar taken eenvoudigweg niet meer uitvoeren. Vrijwel alle wapen- en sensorsystemen functioneren dankzij het gebruik van ICT-componenten en ook de commandovoering en de logistieke ondersteuning zijn afhankelijk van digitale systemen. Een verstoring van de ICT-infrastructuur van de krijgsmacht zal de slagkracht en het voorzettingsvermogen dan ook in gevaar brengen. In het digitale domein moet Defensie daarom de betrouwbaarheid van eigen netwerken, (wapen- en regel)systemen en informatie waarborgen en ontvreemding van informatie voorkomen.”

At the same time, the digital domain is a new operational domain for the armed forces, that, as the committee rightly observes, “is expected to play and important role in every future conflict.” Considering that not only our own networks are vulnerable but also those of potential opponents, the digital domain can also be used to strengthen the own intelligence position and to carry out military operations. The emergence of cyberspace as operational domain strengthens the development where classical warfare is replaced with more hybrid and pluriform conflict model where the use of IT means plays an increasingly large role. The outlook is further complicated by the difficulty of establishing where they originate from and who is behind them. In addition, the committee rightly observes that the chance of a pure ‘cyberwar’, exclusively fought in the digital domain, is currently small. However, it is likely that operational cybercapabilities will be used extensively in the near future. These can be both autonomous as well as in support of conventional warfare. Herewith, it is necessary that operational (offensive) cybercapabilities become part of the total military capacity of the Dutch armed forces. The armed forces must have the capabilities to respond effectively and adequately under all circumstances and against every opponent.”
Original Dutch: “Het digitale domein vormt tegelijkertijd een nieuw operationeel domein voor de krijgsmacht dat, zoals de commissie terecht constateert, “naar verwachting in elk toekomstig conflict een belangrijke rol zal spelen.” Aangezien niet alleen onze eigen netwerken kwetsbaar zijn maar ook die van potentiële tegenstanders kan het digitale domein ook worden gebruikt voor het versterken van de eigen inlichtingenpositie en het uitvoeren van militaire operaties. De opkomst van cyber space als operationeel domein versterkt de ontwikkeling waarbij klassieke oorlogvoering plaatsmaakt voor een meer hybride en veelvormig conflictmodel waar de inzet van ICT-middelen een steeds grotere rol speelt. Het beeld wordt verder gecompliceerd doordat bij digitale aanvallen moeilijk vast te stellen is waar deze vandaan komen en wie er achter zit. Daarnaast constateert de commissie terecht dat de kans op een zuivere ‘cyberoorlog’, die uitsluitend in het digitale domein wordt uitgevochten, momenteel gering is. Het is echter wel waarschijnlijk dat operationele cybercapaciteiten in de nabije toekomst veelvuldig zullen worden ingezet. Deze kunnen zowel zelfstandig als ter ondersteuning van het regulier optreden van krijgsmachten worden ingezet. Hiermee is het noodzakelijk dat operationele (offensieve) cybercapaciteiten onderdeel worden van het totale militaire vermogen van de Nederlandse krijgsmacht. De krijgsmacht moet daarbij over de capaciteiten beschikken om onder alle omstandigheden en tegen elke tegenstander doeltreffend en afdoende te kunnen reageren.”

Intelligence position
Original Dutch: “Inlichtingenpositie”

An outstanding intelligence position is a precondition for the functioning and operating of Defense in the digital domain. Considering the problem of attribution, the committee rightly observes that intelligence and security services have an important role. The gathering of intelligence and carrying out counterintelligence by the Dutch Military Intelligence and Security Service (MIVD) is not offensive activity. This concerns the gathering of intelligence from closed sources, within the legal framework of the Dutch Intelligence and Security Act of 2002 (.pdf, Wiv 2002).
Original Dutch: “Een uitstekende inlichtingenpositie is een randvoorwaarde voor het functioneren en opereren van Defensie in het digitale domein. Ten aanzien van het adresseren van de attributieproblematiek constateert de commissie terecht dat hier een belangrijke rol is weggelegd voor de inlichtingen- en veiligheidsdiensten. Het vergaren van inlichtingen en het uitvoeren van contra-inlichtingen activiteiten door de MIVD is geen offensieve activiteit. Het gaat hier om het, binnen de kaders van de Wet op de inlichtingen- en veiligheidsdiensten 2002 (Wiv 2002), vergaren van inlichtingen uit gesloten bronnen.”

The committee believes that the technological developments render it desirable to consider whether the distinction between wired and wireless interception needs to be maintained. This observation is endorsed by the Review Committee on the Intelligence and Security Services (CTIVD) in the recent report nr.28 about SIGINT (.pdf). The government believes that this distinction cannot be maintained. A change of Wiv 2002 is being prepared, that also needs to involve a careful consideration regarding privacy protection and regarding effects  on providers of electronic communication. In the course of 2012, the Parliament will be informed about this.
Original Dutch: “De commissie is van mening dat de technologische ontwikkelingen het wenselijk maken dat wordt bezien of het onderscheid tussen kabelgebonden en niet-kabelgebonden interceptie gehandhaafd moet blijven. Deze constatering wordt onderschreven door de conclusie van de Commissie van Toezicht betreffende de Inlichtingen- en Veiligheidsdiensten (CTIVD) in het recente toezichtsrapport nr. 28 over SIGINT. Het kabinet is van mening dat dit onderscheid niet gehandhaafd kan blijven. Daartoe wordt een wijziging van de Wiv 2002 voorbereid, waarbij ook een zorgvuldige afweging gemaakt moet worden met betrekking tot de privacybescherming en rekening wordt gehouden met de effecten op de aanbieders van elektronische communicatienetwerken. In de loop van 2012 zal uw Kamer hieromtrent worden geïnformeerd.”

Strengthening digital capacities of Dutch Ministry of Defense
Original Dutch: “Versterken digitale capaciteiten van Defensie”

Due to the WGO-Materiaal of November 7th 2011, it has been promised to MP Hernandez that this response considers the activities of Defense. This promise is hereby fulfilled. The degree to which the described activities can be given substance depends on available financial means. In order to give direction to policy development, a defense strategy is being drafted in close consultation with national and international partners. This will be established before the summer and sent to the Parliament.
Original Dutch: “Naar aanleiding van het WGO-Materieel van 7 november 2011 is aan het lid Hernandez toegezegd in deze reactie in te gaan op de activiteiten van Defensie. Deze toezegging wordt hierbij gestand gedaan. De mate waarin invulling kan worden gegeven aan de beschreven activiteiten is afhankelijk van de beschikbare financiële ruimte. Teneinde richting te geven aan de beleidsontwikkeling wordt, in nauw overleg met nationale en internationale partners, een defensiestrategie voor cyber operations opgesteld. Deze wordt nog voor de zomer vastgesteld en aan de Kamer aangeboden.”

Under responsibility of Chief of the Netherlands Defense Staff, a program manager Cyber has been appointed and the Taskforce Cyber has been established. The program manager is responsible for the coordination of all cyberrelated activities within Defense. At short term, the priority of Defense is in strengthening the defensive and intelligence capabilities. At medium term, attention is given to establishing a Defense Cyber Expertise Centre (DCEC) at the end of 2013 and a Defense Cyber Command (DCC) at the end of 2014. The DCC coordinates cyberoperations within Defense and provides connections between the various cybercapabilities of different Defense departments. In the operational domain, an important executive role is played by the Land Forces Command.
Original Dutch: “Onder verantwoordelijkheid van de CDS is een programmamanager Cyber aangetreden en is de Taskforce Cyber opgericht. De programmamanager is verantwoordelijk voor de coördinatie van alle cybergerelateerde activiteiten binnen Defensie. Op korte termijn ligt de prioriteit van Defensie bij het versterken van de defensieve en inlichtingenvermogens. Op de middellange termijn gaat de aandacht uit naar het oprichten van een Defensie Cyber Expertise Centrum (DCEC) eind 2013 en een Defensie Cyber Commando (DCC) eind 2014. Het DCC coördineert cyber operations binnen Defensie en zorgt voor de verbinding tussen de verschillende cybervermogens van de defensieonderdelen. In het operationele domein is een belangrijke, uitvoerende rol weggelegd voor het Commando Landstrijdkrachten (CLAS).”

As also observed by the committee, finding and keeping sufficiently qualified personal will be a big challenge for Defense. Considering the need for qualified specialists in general, intensive collaboration with other public and private parties will be needed, so as to jointly achieve the most effective use of scarce capacity. To this end, talks are taking place between departments and with industry and universities. Also, possibilities to create a pool of cyberreserves are being inquired into.
Original Dutch: “Zoals ook de commissie constateert wordt het vinden en vasthouden van voldoende gekwalificeerd personeel een grote uitdaging voor Defensie. Gezien de algemene behoefte aan gekwalificeerde specialisten moet ook hier intensief worden samengewerkt met andere publieke en private partijen om gezamenlijk te komen tot een zo effectief mogelijke benutting van schaarse capaciteiten. Daartoe vindt overleg plaats tussen departementen en met bedrijfsleven en universiteiten. Ook wordt onderzocht welke mogelijkheden er zijn om een pool van cyberreservisten te creëren.”

The defensive measures are aimed at strengthening the protection of networks and weapons and control systems. The Defense Computer Emergy Response Team (DefCERT) is partly responsible for the security of these networks and systems and must be operational 24×7 by mid-2013 to protect the most critical defense networks. Until 2016, capacity is being increased to other networks and weapons and control systems. DefCERT will shortly agree on a covenant with NCSC that establishes the framework for intensive collaboration for information sharing and support in case of calamities.
Original Dutch: “De defensieve maatregelen richten zich op het versterken van de bescherming van netwerken en wapen- en regelsystemen. Het Defensie Computer Emergency Response Team (DefCERT) is mede verantwoordelijk voor de beveiliging van deze netwerken en systemen en moet medio 2013 volledig operationeel zijn om 24 uur per dag, zeven dagen per week de meest kritieke defensienetwerken te beschermen. De capaciteit wordt in de periode tot 2016 verder uitgebreid naar de overige netwerken en wapen- en regelsystemen. DefCERT zal binnenkort een convenant afsluiten met het NCSC waarin de kaders voor intensieve samenwerking worden vastgelegd voor informatie-uitwisseling en ondersteuning bij calamiteiten.”

The Taskfore Cyber will also establish offensive capabilities and a cyberdoctrine for Defense. The committee observed that offensive acts often use the same techniques as intelligence acts. To achieve offensive capabilities, an efficient use of all scarce cybercapabilities (including intelligence capabilities) within Defense is necessary. In designing offensive capabilities, the recommended separation of duties between the CDS and the directory of the MIVD is being considered.
Original Dutch: “Vanuit de Taskforce Cyber zal tevens vorm worden gegeven aan een offensieve capaciteit en wordt een Defensie cyberdoctrine opgesteld. De commissie constateert dat voor offensief optreden vaak dezelfde technieken worden gebruikt als voor inlichtingendoeleinden. Voor de realisatie van een offensieve capaciteit is een efficiënte inzet van alle schaarse cybercapaciteiten (waaronder inlichtingencapaciteiten) binnen Defensie dan ook noodzakelijk. Bij de vormgeving van offensieve capaciteit wordt rekening gehouden met de aanbeveling van de commissie over de functiescheiding tussen de CDS en de directeur van de MIVD.”

During 2012-2015, the MIVD will strengthen its cyberintelligence capabilities. A first step has been taken by expanding the capacity with nine FTE’s as of January 1st 2012. Furthermore, the MIVD and AIVD intensive the collaboration regarding cyber and signals intelligence, and that should result in a joint unit for the gathering of SIGINT and cyberintelligence.
Original Dutch: “De MIVD zal in de periode 2012-2015 de cyber inlichtingencapaciteit versterken. Een eerste stap is gezet door de uitbreiding van de capaciteit met negen vte’n per 1 januari 2012. Verder intensiveren de MIVD en de AIVD de samenwerking op het gebied van cyber en signals intelligence (SIGINT) wat moet leiden tot een gezamenlijke eenheid voor de verwerving van SIGINT en cyberinlichtingen.”

Within Defense, knowledge development and assurance will primarily be done by the DCEC. Priority is given to increasing Defense’ personnel awareness of cyberthreats. An interactive practice environment comprising e-learning modules, a simulation and a knowledge base will be delivered soon. There will also be invested in research. In 2012, an Associate Professor Cyber is appointed at the NLDA and a research group is equipped. As of January 1st 2014 a chair of Cyber Defense will be set. In January 2012, a wide cyber research program started at TNO. The research program of Defense is part of a national research agenda cybersecurity that aims effective use of available financial means for research.
Original Dutch: “Binnen Defensie zal de kennisontwikkeling en –borging primair vorm worden gegeven door het DCEC. In eerste instantie heeft het vergroten van de bewustwording bij het personeel over de cyberdreiging prioriteit. Een interactieve oefenomgeving bestaande uit e-learning modules, een simulatie en een kennisbank wordt binnenkort opgeleverd. Ook wordt in onderzoek geïnvesteerd. In 2012 wordt aan de NLDA een Universitair Hoofddocent Cyber aangesteld en een onderzoeksgroep ingericht. Per 1 januari 2014 wordt een leerstoel cyber defence ingesteld. Bij TNO is in januari 2012 een breed cyber onderzoeksprogramma gestart. Het onderzoeksprogramma van Defensie is onderdeel van een nationale onderzoeksagenda cyber security die tot doel heeft de beschikbare onderzoeksbudgetten zo effectief mogelijk te besteden.”

4. The international legal framework
Original Dutch: “4. Het internationaalrechtelijk kader”

Use of violence and right to self-defense (jus ad vellum)
Original Dutch: “Gebruik van geweld en recht op zelfverdediging (jus ad bellum)”

The findings of the committee regarding the use of violence and the right to self-defense broadly match the standpoint of the government. The government considers the committee’s observation that no different regime applies to the digital domain than for the physical domain, to be important. In the advice, existing rules of international law on the use of violence is applied strictly to digital attacks, which is consistent with the views of the government. The committee finds that, except States, also non-state actors can carry out an armed attack within the meaning of the UN Charter, against which violence may be used in self-defense. The government endorses this view and stresses that this is an important legal development.
Original Dutch: “De bevindingen van de commissie ten aanzien van het gebruik van geweld en het recht op zelfverdediging komen in grote lijnen overeen met het standpunt van het kabinet (jus ad bellum). De constatering van de commissie dat ten aanzien van digitale aanvallen geen ander regime geldt dan voor het gebruik van geweld in het fysieke domein, acht het kabinet van belang. In het advies worden de bestaande volkenrechtelijke regels inzake het gebruik van geweld strikt toegepast op digitale aanvallen, dit strookt met opvattingen van het kabinet. De commissie oordeelt dat, behalve Staten, ook niet-statelijke actoren een gewapende aanval in de zin van het VN Handvest kunnen plegen, waartegen geweld ter zelfverdediging mag worden aangewend. Het kabinet onderschrijft dit en benadrukt dat dit een belangrijke rechtsontwikkeling vormt.”

The government also endorses the finding of the committee that attribution is a key challenge in attacks in the digital domain. The committee believes that violence may be used in self-defense only if the source of the attack and the identity of the attackers can be established with a sufficient degree of certainty. The government also endorses the committee’s finding that use of force in response to an armed digital attack must meet the requirements of ‘necessity’ and ‘proportionality’.
Original Dutch: “Het kabinet onderschrijft tevens de constatering van de commissie dat attributie een belangrijke uitdaging vormt bij aanvallen in het digitale domein. Met de commissie is het kabinet van mening dat alleen gebruik mag worden gemaakt van geweld ter zelfverdediging indien de herkomst van de aanval en de identiteit van de aanvallers met een voldoende mate van zekerheid kan worden vastgesteld. Het kabinet onderschrijft tevens de bevinding van de commissie dat, bij gebruik van geweld in reactie op een gewapende digitale aanval, moet worden voldaan aan de volkenrechtelijke eisen van ‘noodzakelijkheid’ en ‘proportionaliteit’.”

Humanitarian law (jus in bello)
Original Dutch: “Humanitair oorlogsrecht (jus in bello)”

The government agrees with the conclusion of the committee that the application of the rules of international humanitarian law (jus in bello) to hostilities in the digital domain is “technically feasible and a legally required”. However, in agreement with the commission, the government believes that law of war only applies to digital acts of violence if those acts are committed in the context of armed conflict, by parties involved in that conflict. This is an important distinction from other acts of digital violence. The advice further specifies the beginning of an “armed conflict” by a digital attack, and provides some useful examples of the practical application of the basic principles of humanitarian law to digital warfare.
Original Dutch: “Het kabinet deelt de conclusie van de commissie dat toepassing van de regels van het humanitair oorlogsrecht (jus in bello) op vijandelijkheden in het digitale domein “technisch gezien haalbaar en juridisch gezien ook een vereiste” is. Echter, met de commissie is het kabinet van mening dat digitale daden van geweld alleen onder het oorlogsrecht vallen wanneer ze worden gepleegd in de context van een gewapend conflict, door de partijen bij dat conflict. Dit vormt een belangrijke afbakening ten opzichte van andere daden van digitaal geweld. Het advies geeft nadere invulling aan het ontstaan van een ‘gewapend conflict’ door een digitale aanval, als ook een aantal nuttige voorbeelden van de praktische toepassing van de basisprincipes van het oorlogsrecht op digitale oorlogvoering.”

Neutrality
Original Dutch: “Neutraliteit”

The government considers the elaboration of the committee of the concept of neutrality in relation to the use of digital weapons as a useful starting point for further thinking in this area. The Netherlands can protect its neutrality in an armed conflict from other parties by preventing the use by such parties of infrastructure and systems (e.g. botnets) on Dutch territory. This requires permanent vigilance. A good intelligence position and continuous scanning are a necessity.
Original Dutch: “Het kabinet beschouwt de uitwerking van de commissie van het begrip neutraliteit in relatie tot de inzet van digitale wapens als een nuttig startpunt voor nadere gedachtevorming op dit gebied. Nederland kan bij een gewapend conflict van andere partijen zijn neutraliteit beschermen door het verhinderen van het gebruik door deze partijen van infrastructuur en systemen (bijv. botnets) op Nederlands grondgebied. Hierbij is permanente waakzaamheid geboden. Een goede inlichtingenpositie en een permanente scanfunctie zijn hierbij noodzakelijk.”

Cybertreaty
Original Dutch: “Cyberverdrag”

In agreement with the committee, the government currently does not believe a new global cybertreaty is needed. The government believes that existing rules of international and European law regarding the use of digital violence are sufficient. The government supports the recommendation of the committee to reinforce political and practical effects of international law in the digital domain by means of a code of conduct.
Original Dutch: “Met de commissie ziet het kabinet op dit moment geen noodzaak tot een nieuw wereldwijd cyberverdrag. Het kabinet is van mening dat bestaande regels van internationaal en Europees recht voldoen ten aanzien van het gebruik van digitaal geweld. Het kabinet ondersteunt wel de aanbeveling van de commissie om door middel van een code of conduct meer politiek gewicht en praktische uitwerking te geven aan de toepassing van internationaal rechtelijke bepalingen in het digitale domein.”

International cooperation
Original Dutch: “5. Internationale samenwerking”

Due to the extensive global interconnectedness and interdependence of IT systems, international civil-military and public-private collaboration is essential. Intensive bilateral contact is taking place with the United States, United Kingdom, Germany, Australia and the Benelux. It also being examined what the possibilities are for intensified cooperation with e.g. the Scandinavian countries, Canada and France.
Original Dutch: “Door de wereldwijd verregaande onderlinge verbondenheid en wederzijdse afhankelijkheid van ICT- systemen, is internationale civiel-militaire en publiek-private samenwerking essentieel. Bilateraal vindt hiertoe intensief contact plaats met de Verenigde Staten, het Verenigd Koninkrijk, Duitsland, Australië en de Benelux-landen. Tevens worden mogelijkheden bezien voor geïntensiveerde samenwerking met o.a. de Scandinavische landen, Canada en Frankrijk.”
As the committee points out, the Netherlands is actively taking part in the debate about ethics in the digital domain, firstly to maintain an open and free internet and counterbalance countries that want to restrict free use of internet and media in name of security and fighting cybercrime. At the same time the government recognizes the importance of preventing potential conflicts between countries due to cyber incidents. The Netherlands will carry this out via the appropriate fora. The Netherlands also considers it important that companies take responsibility for the export of dual-use technology. In addition to self-restriction by companies, The Netherlands will also commit to expanding the EU export regulation regarding dual-use technology. This would enable imposing ad-hoc license requirements in individual cases where evidence exists that the goods in whole or in part will be used for to violate human rights.
Original Dutch: “Zoals de commissie opmerkt, neemt Nederland actief deel aan de discussie over gedragsnormen in het digitale domein, allereerst om een open en vrij internet te behouden en tegenwicht te bieden aan landen die het vrije gebruik van internet en media aan banden willen leggen in naam van veiligheid en bestrijden van cybercriminaliteit. Tegelijkertijd onderkent het kabinet het belang om potentiële conflicten tussen landen als gevolg van cyberincidenten te voorkomen. Nederland zal zich hiervoor via geëigende fora inzetten. Nederland acht het daarnaast van groot belang dat bedrijven hun verantwoordelijkheid nemen voor de uitvoer van technologie die zowel goed als kwaadschiks kan worden gebruikt door overheden. Omdat Nederland er ter bescherming van mensenrechten belang aan hecht dat bedrijven naast zelfrestrictie ook een kader hebben om besluiten te nemen over export van hun producten, zet Nederland zich er voor in om de dual-use verordening van de EU uit te breiden. Hierdoor zou het mogelijk worden een ad-hoc vergunningplicht op te leggen voor individuele gevallen indien er aanwijzingen zijn dat de goederen geheel of gedeeltelijk zullen worden gebruikt voor mensenrechtenschendingen.”

NATO
Original Dutch: “NAVO”

In June 2011, the new strategic concept of NATO for cyber defense has been followed up by a policy plan. As the committee notes, NATO primarily focuses on strengthening the defensive capability regarding cyber threats. Partly due to insistence of the Netherlands, the need for enhanced information sharing, the development of a joint threat assessment and the importance of EU-NATO cooperation was included in the NATO policy. The government also believes that NATO should eventually develop a doctrine for the use of offensive cyber capabilities. A possible joint response to an attack will be decided upon through existing procedures. In the digital domain too it is not always straightforward to determine when Article 5 comes into force. This is always subject to political decisionmaking.
Original Dutch: “Het nieuwe strategisch concept van de NAVO heeft navolging gekregen in een in juni 2011 vastgesteld beleidsplan voor cyber defence. Zoals de commissie constateert, richt de NAVO zich vooral op het  versterken van het defensieve vermogen ten aanzien van cyberdreigingen. Mede op aandringen van Nederland is de noodzaak van intensievere informatie-uitwisseling, het ontwikkelen van een gezamenlijke dreigingsanalyse en het belang van EU-NAVO samenwerking in het NAVO-beleid opgenomen. Het kabinet is daarnaast van mening dat de NAVO op termijn een doctrine voor de inzet van offensieve cybercapaciteiten zou moeten ontwikkelen. Ten aanzien van een eventuele collectieve reactie op een aanval geldt dat een beslissing hierover via de bestaande procedures genomen zal worden. Ook in het digitale domein is niet altijd eenduidig vast te stellen wanneer artikel 5 in werking treedt. Dit is altijd onderwerp van politieke besluitvorming.”

European Union
Original Dutch: “Europese Unie”

The government shares the vision of the committee that the EU will benefit from an integrated, coordinated approach to digital security. Last year, the European Commission launched its internal security strategy, which identified the increasing of the level of security for citizens and business in cyberspace as one of its five strategic goals. The Dutch Parliament was informed about this on January 19th 2011 (Kamerstuk 32317 nr.32). Earlier this year, European Commissioner Kroes announced a proposal for a European internet safety strategy. The Netherlands supports these developments and will brings its expertise, for example in the area of ​​threat analysis and public-private partnership. In addition, The Netherlands advocates at the European Commission that external geopolitical aspects are given a clear place in the EU approach to digital security.
Original Dutch: “Het kabinet deelt de visie van de commissie dat de EU gebaat is bij een integrale, gecoördineerde aanpak van digitale veiligheid. Vorig jaar heeft de Europese Commissie haar interne veiligheidsstrategie gelanceerd, waarin het verhogen van het niveau van veiligheid voor burgers en bedrijfsleven in cyber space geïdentificeerd is als een van de vijf strategische doelen. Uw Kamer is hierover op 19 januari 2011 geïnformeerd (Kamerstuk 32317 nr. 32). Begin dit jaar heeft Eurocommissaris Kroes aangekondigd een voorstel te doen voor een Europese internetveiligheidsstrategie. Nederland steunt deze ontwikkelingen en zal haar expertise inbrengen, bijvoorbeeld op het gebied van dreigingsanalyse en publiek-private samenwerking. Daarnaast bepleit Nederland bij de Europese Commissie dat externe, geopolitieke aspecten een duidelijke plek krijgen bij de EU-aanpak van digitale veiligheid.”

EOF

Another case of too much information being present in files published online: the main website of the Dutch government, overheid.nl. Running FOCA Free on site:overheid.nl and filetype:{pdf,odt,doc,docx,xls,xlsx,ppt,pptx} yields 1527 documents (.txt), containing 350 users (.txt), 184 folders (.txt), 14 printers (.txt), 166 pieces of software (.txt) 4 operating systems (.txt) and a few email addresses. Furthermore, FOCA inferred 311 clients and 21 servers (.jpg): most with their OS identified, many with additional software identified. (Note that FOCA can infer, albeit imperfect, information about a single client or server from multiple documents.)

Great example of yet more low risk — otherwise I would not have published the results here — but nonetheless needless information disclosure.

For more, see the previous post about the U.S. Cyber Security Act 2012.

For more, here is a partial translation of this post in Dutch from April 2011:

Once upon a time, the Dutch National Communication Security Agency (NL-NCSA) was located at Cistron, a Dutch ISP in Twente. In 2001, the NL-NCSA was physically and administratively moved to the Dutch General Security & Intelligence Agency, the AIVD. In a monkey-see-monkey-do imitation of this original finding by Henk van Ess (WebWereld, 2010-02-05), I downloaded all .pdf news bulletins issued by NL-NCSA from here and applied exiftool to examine the data. Result: the old bulletins (still) contain too much needless metadata. I educated-guess that these documents were -really- created on AIVD computers. If true, the metadata probably gives some clues about those systems. For example, Author and Creator reveal (assuming that this is not disinformation):
 
P1140    Nieuwsbrief -4 NBV aug. 2006.doc – Microsoft Word
P1140    G:DIRECTIE.3NBVNBV – NieuwsbrievenOktober 2006Nieuwsbrief NBV okt. 2006.doc – Microsoft Word
P1140    G:DIRECTIE.3NBVNBV – NieuwsbrievenDecember 2006Nieuwsbrief NBV dec. 2006.doc – Microsoft Word
P1140    G:DIRECTIE.3NBVNBV – NieuwsbrievenApril 2007Nieuwsbrief NBV apr. 2007.doc – Microsoft Word
P1140    G:DIRECTIE.3NBVNBV – NieuwsbrievenJuni 2007Nieuwsbrief NBV jun. 2007.doc – Microsoft Word
P1140    NBV nieuwsbrief aug_2007_wijzCO7HE.doc – Microsoft Word
P1140    N:NBV – Nieuwsbrieven2007 OktoberNBV nieuwsbrief okt 2007.doc – Microsoft Word
p648    C:DOCUME~1p648LOCALS~1TempnotesE259CDNBV nieuwsbrief dec. 2007.doc – Microsoft Word
P1140    N:AlgemeenNieuwsbrieven2008 MaartNBV nieuwsbrief mrt. 2008.doc – Microsoft Word
P1140    NBV nieuwsbrief juni 2008.doc – Microsoft Word
P1140    N:AlgemeenNieuwsbrieven2008 AugustusNBV nieuwsbrief aug. 2008.doc – Microsoft Word
P1140    NBV nieuwsbrief okt. 2008 v0.8.doc – Microsoft Word
P1385    C:DOCUME~1P1385LOCALS~1TempnotesE259CDNBV nieuwsbrief dec. 2008 v0.5.doc – Microsoft Word
P1140    N:AlgemeenNieuwsbrieven2009 FebruariNBV nieuwsbrief feb. 09 v0.3.doc – Microsoft Word
P1140    NBV nieuwsbrief apr. 09 v0.3.doc – Microsoft Word
P1140    N:AlgemeenNieuwsbrieven2009 JuliNBV nieuwsbrief juli 09 v0.3.doc – Microsoft Word
P1140    N:AlgemeenNieuwsbrieven2009 septemberNBV nieuwsbrief sept. 09 v0.3.doc – Microsoft Word
P1140    N:AlgemeenNieuwsbrieven2009 NovemberNBV nieuwsbrief nov. 09 v0.4.doc – Microsoft Word

Mind that Author (probably NT-username or computer name) is always P1140 except in December 2007 (p648) and 2008 (P1385). Did computer P1140 break or had user P1140 taken a Christmas holiday, as opposed to December 2006? If P1140 is a user, this possibly is a clue for finding matching Facebook/Hyves-profiles to reveal P1140‘s identity. Here is the raw metadata: 20110416_NBVnbmeta.txt (I left out documents that did not contain metadata). The Producer-field suggests that the news bulletins between 2006 and 2009 have been authored using Acrobat PDFWriter 4.05 voor Windows NT. For some other AIVD .pdf publications,  exiftool shows this metadata: 20110416_AIVDmeta.txt. All metadata combined in one CSV file: 20110416_exifAIVD-csv.txt. Furthermore, Author and Last Modified By  are present in a Word document: 20110416_AIVDWorddoc.txt.

EOF.

Last updated: 2016-02-14. Some old JFQ links are broken due to JFQ having been moved in Q1/2014; I still need to fix the links.

Below are selected publications on (military) philosophy, policy and strategy in the digital domain. The list does not include other topics. (If you’re interested in privacy/surveillance: Snowden-documents can be found at http://cryptome.org/2013/11/snowden-tally.htm, https://www.eff.org/nsa-spying/nsadocs, and the National Security Archive at GWU at http://www2.gwu.edu/~nsarchiv/NSAEBB/NSAEBB436/.)

Selected NATO CCD-CoE publications are listed at the bottom. Access CCD-CoE’s Publication Library for all available publications.

I will keep this post updated. Contact me at mrkoot[at]gmail[dot]com with your suggestions, broken links, et cetera.

2016

• Beyond the Build: How the Component Command Support the U.S. Cyber Command Vision, U.S. Cyber Command Combined Action Group in JFQ-80, Jan 2016

2015

• Resiliency in Future Cyber Combat (.pdf), COL Willieam D. Bryant / USAF in SSQ Winter 2015
• Deterrence Stability in the Cyber Age (.pdf), Edward Geist in SSQ Winter 2015
• Defense Intelligence Analysis in the Age of Big Data, Paul B. Symon & Arzan Tarapore in JFQ-79, Oct 2015
• Countering Extremist Groups in Cyberspace, Robert William Schultz in JFQ-79, Oct 2015
• Strategic Development of Special Warfare in Cyberspace, Patrick Michael Duggan in JFQ-79, Oct 2015
• One Size Does Not Fit All: The Multifaceted Nature of Cyber Statecraft, Andrea Little Limbago in JFQ-78, Jul 2015
• Detangling the Web: A Screenshot of U.S. Government Cyber Activity, G. Alexander Crowther & Shaheen Ghori in JFQ-78, Jul 2015
• Why International Order in Cyberspace is Not Inevitable (.pdf), Brian M. Mazanec in SSQ Summer 2015
• On the Future Order in Cyberspace (.pdf), Christopher Whyte in SSQ Summer 2015
• Deterring Malicious Behavior in Cyber Space (.pdf), Scott Jasper in SSQ Spring 2015
• Power and Predation in Cyberspace (.pdf), Christopher Whyte in SSQ Spring 2015
• Rethinking the Cyber Domain and Deterrence, Dorothy E. Denning in JFQ-77, Apr 2015
• A Theater-Level Perspective on Cyber, J. Marcus Hicks in JFQ-76, Jan 2015

2014

• Structural Causes and Cyber Effects: Why International Order is Not Inevitable in Cyberspace (.pdf), James Wood Forsyth Jr. and Major Billy E. Pope (USAF) in SSQ Winter 2014
• Offensive Cyber Operations in US Military Doctrine, Steven Aftergood, FAS, October 2014
• Cyber Security as a Field of Military Education and Study, Eneken Tikk-Ringas, Mika Kerttunen, and Christopher Spirito in JFQ-75, Oct 2014
  
• Determining Hostile Intent in Cyberspace, Ramberto A. Torruella, Jr. in JFQ-75, Oct 2014
  
• The Limits of Cyberspace Deterrence, Clorinda Trujillo in JFQ-75, Oct 2014
  
• Cybersecurity, Terrorism, and Beyond: Addressing Evolving Threats to the Homeland, US Senate Committee on Homeland Security and Governmental Affairs (HSGAC) Hearings, September 2014
  
• Cyber Power in 21st-Century Joint Warfare, E. Lincoln Bonner III in JFQ-74, Jul 2014
  
• The Strategic Significance of the Internet Commons (.pdf), Michael Chertoff in SSQ Summer 2014
• China’s Military Modernization and Cyber Activities (.pdf), testimony of Dr. Larry M. Wortzel before the House Armed Services Committee, SSQ Summer 2014
• Why Cyber War Will Not and Should Not Have Its Grand Strategist (.pdf), Martin C. Libicki, SSQ Summer 2014
  
• Toward Attaining Cyber Dominance (.pdf), Martin R. Stytz & Sheila B. Banks, SSQ Summer 2014
  
• Act and Actor Attribution in Cyberspace – A Proposed Analytic Framework (.pdf), Col. Eric F. Mejia / USAF, SSQ Summer 2014
• Semantics Matter: NATO, Cyberspace and Future Threats (.pdf), Christine Hegenbart, NATO Defense College
  
• The Joint Force Commander’s Guide to Cyberspace Operations (.pdf) (web) [RECOMMENDED READ], Maj.Gen. Brett T. Williams (USAF/CYBERCOM), JFQ-73
  
• Achieving Accountability in Cyberspace – Revolution or Evolution? (.pdf), Maj.Gen. John N.T. Shanahan (USAF; Commander of a USAF ISR Agency), JFQ-73 
• Information-Sharing with the Private Sector (.pdf), Veronica A. Chinn, Lee T. Furches, and Barian A. Woodward, JFQ-73
  

2013

• The Cyberspace Operations Planner,  Jason M. Bender, Small Wars Journal, November 5th 2013
• Combat Identification in Cyberspace, Robert Zager and John Zager, Small Wars Journal, August 25th 2013
• Bandwidth Cascades: Escalation and Pathogen Models for Cyber Conflict Diffusion, James D. Fielder, Small Wars Journal, June 19th 2013
• The International Community Must Hold Russia Accountable for Its Cyber Militias,  Casimir C. Carey III, Small Wars Journal, March 27th 2013
• What Great Powers Make It: International Order and the Logic of Cooperation in Cyberspace (.pdf), James Wood Forsyth Jr., SSQ Spring 2013
• Four Core Questions for U.S. Cyberattack Guidance (.pdf), Col. Jonathan C. Rice IV / USAF, March 2013
• Welcome to the Malware-Industrial Complex, Tom Simonite, MIT Technology Review, February 13th 2013
• Cyber Warfare and Deterrence: Trends and Challenges in Research, Amir Lupovici (INSS), i-HLS, February 1st 2013
• Cyber Operations: Bridging from Concept to Cyber Superiority, Jan Kallberg and Bhavani Thuraisingham, JFQ-68, January 2013

2012

• Virtual Patriots and a New American Cyber Strategy: Changing the Zero-Sum Game (.pdf), Matthew Crosston, SSQ Winter 2012 (perspectives)
• Industry’s Vital Role in National Cyber Security (.pdf), James P. Farwell, SSQ Winter 2012 (feature)
• On the Spectrum of Cyberspace Operations, Gary D. Brown and Owen W. Tullos, December 2012, Small Wars Journal
• Why Your Intuition About Cyber Warfare is Probably Wrong, Matthew Miller, Jon Brickey and Gregory Conti, Small Wars Journal, November 2012
• Stuxnet, Schmitt Analysis, and the Cyber “Use of Force” Debate, Andrew C. Foltz, JFQ-67, October 2012 
• Cyber Warfare: Critical Perspectives – NL ARMS 2012, P. Ducheine, F. Osinga, and J. Soeters (eds.), The Hague: TMC Asser Press, 2012
• The Case for Cyber, Jon Brickey, Jacob Cox, John Nelson and Gregory Conti, Small Wars Journal, September 2012
• Deterrence and Escalation in Cross-domain Operations: Where Do Space and Cyberspace Fit? (.pdf), Vincent Manzo, JFQ66, August 2012 (Forum)
• Shadow Boxing: Cyber Warfare and Strategic Economic Attack, Soren Olson, JFQ66, August 2012 (Forum)
• Offensive Cyber for the Joint Force Commander: It’s Not That Different, Rosemary M. Carter, Brent Feick, and Roy C. Undersander, JFQ66, August 2012 (Forum)
• Sharing the Cyber Journey (.pdf), Suzanne M. Vautrinot (USAF), SSQ Fall 2012 (perspectives)
• Internet Governance and National Security (.pdf), Panayotis A. Yannakogeorgos, SSQ Fall 2012 (perspectives)
• Escalation Dynamics and Conflict Termination in Cyberspace (.pdf), Herbert Lin, SSQ Fall 2012 (perspectives)
• Depleted Trust in the Cyber Commons (.pdf), Roger Hurwitz, SSQ Fall 2012 (perspectives) 
• The Customary International Law of Cyberspace (.pdf),  Gary Brown (USAF) and Keira Poellet (USAF), SSQ Fall 2012 (perspectives)
• Claiming the Lost Cyber Heritage (.pdf), Jason Healey (CSIAC), SSQ Fall 2012 (commentary)
• Defining Cyberterrorism: Capturing a Broad Range of Activities in Cyberspace, Jonalan Brickey, CTC Sentinel, August 23rd 2012
• DoD Cyber Range – Open and Ready for Customers, Neil Gaudreau and Jeffrey Combs, CHIPS Articles, July-September 2012
• Offensive Cyber for the Joint Force Commander: It’s Not That Different, Rosemary M. Carter, Brent Feick, and Roy C. Undersander, JFQ-66, July 2012 
• Shadow Boxing: Cyber Warfare and Strategic Economic Attack, Soren Olson, JFQ-66, July 2012 
• Deterrence and Escalation in Cross-domain Operations: Where Do Space and Cyberspace Fit?, Vincent Manzo, , JFQ-66, July 2012 
• Dutch MoD’s Defense Cyber Strategy (NL->UK translation), Matthijs R. Koot, July 18th 2012
• PacNet #41A – A Plea for an Alliance-Based ‘AirSeaCyber’ Joint Operational Concept, July 16th 2012, Harry J. Kazianis
• Putting the “war” in cyberwar: Metaphor, analogy, and cybersecurity discourse in the U.S., July 2nd 2012, Steven Lawson
• Dutch Military Intelligence Dives into Cyber, May 22nd 2012, Don Eijndhoven
• ENISA report: “National Cyber Security Strategies” (.pdf), May 2012, ENISA
• Military officials push to elevate cyber unit to full combatant command status (news article), The Washington Post, May 2nd 2012
• Cybersecurity: Authoritative Reports and Resources (.pdf), Rita Tehan, U.S. Congressional Research Service, April 26th 2012 
• Dutch AIV/CAVV Council’s Advice on CYBER WARFARE – No 77, AIV/No 22, CAVV (.pdf), December 2011 (English translation published April 26th 2012)
• Sailing the Cyber Sea (also available as .pdf), James G. Stavridis and Elton C. Parker, JFQ-65, April 2012
• NATO Rapid Reaction Team to fight cyber attack, NATO, March 13th 2012
• NATO Announces Largest-Ever Cyber Warfare Spending, NATO, March 8th 2012
• NATO’s Cyber Capabilities: Yesterday, Today, and Tomorrow, Jason Healey and Leendert van Bochoven, ACUS, February 2012
• Designer Satellite Collisions from Covert Cyber War (.pdf), Jan Kallberg, SSQ Spring 2012
• Cyber-Weapons (.pdf) Thomas Rid and Peter McBurney, The RUSI Journal 157:1 6-13, February 29th 2012
• Intelligence Leaders Urge Congress to Act on Cyber Laws, Lisa Daniel, American Forces Press Service, February 2012
• Cyber weapons growing concern in hyper connected world, experts say, Steven Beardsley, Stars and Stripes, February 2012
• Disagreements on cyber risk East-West “Cold War”, Peter Apps, Reuters, February 2012
• Defense Bill Approves Offensive Cyber Warfare, J. Nicholas Hoover, Information Week Government, January 2012
• Loving the Cyber Bomb? The Dangers of Threat Inflation in Cybersecurity Policy (.pdf), Jerry Brito and Tate Watkins, Harvard NatSec Journal, 2012 
  

2011

• Dutch Council on Int’l Affairs’ Advise On Digital Warfare (.pdf), Dutch Council on Int’l Affairs, December 2011 (in Dutch; here is an unauthorized translation to English)
• The Jester Dynamic: A Lesson in Asymmetric, Unmanaged Cyber Warfare (.pdf), TJ OConnor, December 2011
• Joint Targeting in Cyberspace (.pdf), Maj Steven J. Smart (USAF), Air and Space Power Journal 2011-4, Winter 2011
• Can It Really Work? Problems with Extending EINSTEIN 3 to Critical Infrastructure (.pdf), Steven M. Bellovin, Scott O. Bradner, Whitfield Diffie, Susan Landau, and Jennifer Rexford, Harvard NatSec Journal 3:1, ? 2011  
• Demystifying the Title 10-Title 50 Debate: Distinguishing Military Operations, Intelligence Activities & Covert Action (.pdf), Andru E. Wall, Harvard NatSec Journal 3:1, ? 2011
• Nuclear Lessons for Cyber Security? (.pdf), Joseph S. Nye Jr., SSQ Winter 2011
• NDAA Section 934 – US DoD Cyberspace Policy Report (.pdf), US DoD, November 2011
• There is no cyber war the same way there is no nuclear war, Richard Stiennon, Forbes, November 3rd, 2011
• Arms control in the fifth domain, Charlemagne, The Economist, October 2011
• Estonia: Cyber Window into the Future of NATO, Häly Laasme, JFQ-63, October 2011
• Stuxnet and Strategy: A Space Operation in Cyberspace, Lukas Milevski, JFQ-63, October 2011
• Why Iran Didn’t Admit Stuxnet Was an Attack, Gary D. Brown, JFQ-63, October 2011
• Protecting Against Predatory Practice (.pdf),  CrossTalk special issue, Sep/Oct 2011
• The Wrong War: The Insistence on Applying Cold War Metaphors to Cybersecurity Is Misplaced and Counterproductive, Peter W. Singer and Noah Shachtman, Brookings, August 2011
• US GAO: “DOD Faces Challenges In Its Cyber Activities” (.pdf), US GAO, July 2011
• DoD Cyber Plan – A Rare (Theoretical) Policy Home Run, Steven Bucci, Security Debrief, July 2011
• US DoD Strategy for Operating in Cyberspace (.pdf), US DoD, July 2011
• Cyber Weapons: The New Arms Race, Michael Riley and Ashlee Vance, Business Week, June 2011
• Cyber Doctrine – Towards a coherent evolutionary framework for learning resilience (.pdf), JP MacIntosh, J Reid and LR Tyler, June 2011
• Building a New Command in Cyberspace (.pdf), GEN Keith B. Alexander, USA, SSQ Summer 2011
• Deciphering Cyberpower: Strategic Purpose in Peace and War (.pdf), John B. Sheldon, SSQ Summer 2011
• Nine Deadly Cyberwarfare Sins, Jesus Oquendo, Infosec Island, May 2011
• The Developing Legal Framework for Defensive and Offensive Cyber Operations (.pdf), Steven G. Bradbury, Harvard NatSec Journal, March 16th, 2011 April 18th 2011
• Establishing a Framework for Intelligence Education and Training, Rebecca L. Frerichs and Stephen R. Di Rienzo, JFQ-62, April 2011
• Untangling Attribution (.pdf), David D. Clark and Susan Landau, Harvard NatSec Journal, March 16th, 2011
• Rise of a Cybered Westphalian Age (.pdf), Chris C. Demchak and Peter Dombrowski, SSQ Spring 2011
• The Future of Things “Cyber” (.pdf), Gen Michael V. Hayden, USAF, Retired , SSQ Spring 2011
• Retaliatory Deterrence in Cyberspace (.pdf), Eric Sterner, SSQ Spring 2011
• Perspectives for Cyber Strategists on Law for Cyberwar (.pdf), Maj Gen Charles J. Dunlap Jr., USAF, Retired, SSQ Spring 2011
• World Gone Cyber MAD: How “Mutually Assured Debilitation” Is the Best Hope for Cyber Deterrence (.pdf), Matthew D. Crosston, SSQ Spring 2011
• Nuclear Crisis Management and “Cyberwar”: Phishing for Trouble? (.pdf), Stephen J. Cimbala, SSQ Spring 2011
• Cyberwar as a Confidence Game (.pdf), Martin C. Libicki, SSQ Spring 2011
• Blown to Bits: China’s War in Cyberspace, August-September 2020 (.pdf), Christopher Bronk, SSQ Spring 2011
• Cyberdeterrence between Nation-States: Plausible Strategy or a Pipe Dream? (.pdf), Jonathan Solomon, SSQ Spring 2011
• Mastering the Art of Wiki: Understanding Social Networking and National Security, James Jay Carafano, JFQ-61, January 2011
• Chinese Views on Deterrence, Dean Cheng, JFQ-61, January 2011

2010

• What U.S. Cyber Command Must Do, Wesley R. Andrues, JFQ-59, October 2010
• Cyber Deterrence: Tougher in Theory than in Practice? (.pdf), Will Goodman, SSQ Fall 2010
• War in the fifth domain, The Economist, July 2010
• Cyberwar is fiction, Robert David Graham, Errata Security, June 2010
• Cybersecurity and National Policy (.pdf), Dan Geer, Harvard NatSec Journal, April 7th, 2010
• Cyber Vision and Cyber Force Development (.pdf), Kamal Jabbour, SSQ Spring 2010 
• Article 5 and the Strategic Concept (.pdf), Maria Mälksoom, ICDS, remarks at the NATO Defense College Conference, March 2nd 2010 – and slides (.pdf)

2009

• When Is Deterrence Necessary? Gauging Adversary Intent (.pdf), Gary Schaub Jr., SSQ Winter 2009
• The Virtual Battlefield: Perspectives on Cyber Warfare ($), C. Czosseck and K. Geers, October 2009
• The Monroe Doctrine in Cyberspace (.pdf), testimony by Mary Ann Davidson, March 2009
• Policy and Purpose: The Economy of Deterrence (.pdf), Gen Norton A. Schwartz, USAF, Lt Col Timothy R. Kirk, USAF, SSQ Spring 2009

2008

• USAF Cyberspace Command: To Fly and Fight in Cyberspace (.pdf), Maj Gen William T. Lord, USAF, SSQ Fall 2008

2007

• Air, Space, and Cyberspace Power for the Future? (.pdf), Lt Gen Stephen R. Lorenz, USAF, SSQ Winter 2007
• Flying and Fighting in Cyberspace (.pdf), Lt. Col. Sebastian M. Convertino II (USAF), Lou Anne DeMattei (DIA), Lt. Col. Tammy M. Knierim (USAF), Air War College / Air University, July 2007

2001

• Principles of Cyber-warfare (.pdf), Raymond C. Parks and David P. Duggan, Proceedings of the 2001 IEEE Workshop on Information Assurance and Security, United States Military Academy, West Point, NY, 5-6 June, 2001

NATO CCD-CoE

• Proceedings of the 7th NATO CCD-COE Conference 2015 (videos/slides, proceedings, gallery), May 2015
• Proceedings of the 6th NATO CCD-COE Conference 2014 (videos/slides, proceedings, gallery), Apr 2014
• Peacetime Regime for State Activities in Cyberspace, December 2013
• Proceedings of the 5th NATO CCD-COE Conference 2013 (videos/slides, proceedings), May 2013
• Tallinn Manual on the International Law Applicable to Cyber Warfare, March 2013
• National Cyber Security Framework Manual (.pdf), December 2012
• Proceedings of the 4th NATO CCD-COE Conference 2012 (videos/slides, proceedings), May 2012
• Proceedings of the 3rd NATO CCD-COE Conference 2011 (.pdf), June 2011 
• Proceedings of the 2nd NATO CCD-COE Conference 2010, June 2010
• NATO CCD-CoE International Cyber Security Legal & Policy Proceedings 2010, June 2010
• Proceedings of the 1st NATO CCD-COE Conference 2009, June 2009

Cyber Glossaries

• SANS Glossary of Security Terms
• National Information Assurance Glossary (.pdf), Committee on National Security Systems (CNSS), April 2010

EOF

UPDATE 2012-04-26: official English translation of the report available here (.pdf).
UPDATE 2012-04-09: Dutch cabinet responded to the advice. See here.
UPDATE 2012-02-09: highly relevant –> Loving the Cyber Bomb? The Dangers of Threat Inflation in Cybersecurity Policy (.pdf), Jerry Brito and Tate Watkins, Harvard NatSec Journal, 2012
UPDATE 2012-02-06: highly relevant –> NATO CCD-CoE International Cyber Security Legal & Policy Proceedings 2010
UPDATE 2012-01-25: interesting writing by krypt3ia: Real Cyberwar: A Taxonomy (2012-01-18).

In December 2011 the Dutch Advisory Council on International Affairs published an advisory (.pdf, in Dutch) entitled “Digitale Oorlogsvoering” (English: “Digital Warfare”) intended for the Dutch government. The council describes itself as “an independent body which advises government and parliament on foreign policy, particularly on issues relating to human rights, peace and security, development cooperation and European integration”. Its existence originates in Dutch law (.pdf, in Dutch). The council is administratively co-located at the Dutch Ministry of Foreign Affairs.

Below is my careful translation of the conclusions and recommendations of their advisory. Any less-than-graceful use of the English language is due to me translating as literally as possible. Hyperlinks and parts between […] are mine.

Remember that in November 2011, the Pentagon stated that they reserve the right to meet cyber attacks with kinetic force? The Dutch advisory states the same (see recommendation 17): “A digital attack that meets the requirements of an armed attack can justify a response with conventional armed means”.

WARNING: this is an unofficial translation.

Dutch Advisory Council on International Affairs
Original Dutch: “Adviesraad Internationale Vraagstukken”

Conclusions and recommendations
Original Dutch: “Conclusies en aanbevelingen”

The issue of definition
Original Dutch: “De definitiekwestie”

1. Threats to digital security can originate from digital warfare, digital espionage, digital terrorism, digital activism and digital crime. Definition of these manifestations is needed to prevent conceptual mix-ups. This does not mean that different manifestations cannot be related to each other. The same technical means are often used to different ends. Distinguishing the end is, however, important in determining the right national response to specific threats, for example to reduce the risk of overreacting.
   Original Dutch: “De bedreiging van de digitale veiligheid kan voortkomen uit digitale oorlogvoering, digitale spionage, digitaal terrorisme, digitaal activisme en digitale criminaliteit. Definiëring van deze verschijningsvormen is nodig om te voorkomen dat ze conceptueel met elkaar worden vermengd. Dit betekent niet dat deze dreigingsvormen geen samenhang kunnen vertonen. Vaak komen de gebruikte technieken overeen en verschilt alleen het beoogde doel. Het onderscheiden van de doelstelling is echter van belang voor het bepalen van de juiste nationale respons op specifieke dreigingen, bijvoorbeeld om het risico van een overreactie te beperken.”
   
2. The AIV/CAVV therefore recommends that the Dutch government applies clear and uniform definitions. It is essential that governments and organizations establish common interpretations internationally, if one wants to be able to establish international agreements about addressing digital threats.
   Original Dutch: “De AIV/CAVV beveelt daarom aan dat de overheid gebruik maakt van duidelijke en uniforme begripsomschrijvingen. Op internationaal niveau is het eveneens noodzakelijk dat overheden en organisaties tot eensluidende interpretaties komen, wil men in staat zijn om internationale afspraken te maken over de aanpak van digitale dreigingen.”

The digital threat
Original Dutch: “De digitale dreiging”

3. The Dutch administration notes that the dependency of the functioning of digital networks entails new security risks. Besides digital crime, which is largely outside the scope of this advice, there seems to be an increase of digital espionage activities. However, more systematic and quantitative research is needed on the size of the various digital threats. Considering that these are pre-eminently cross-border problems and available capacities can be bundled best in that way, AIV/CAVV recommends initiating independent research at EU and NATO level.
   Original Dutch: “De regering constateert dat de afhankelijkheid van het functioneren van digitale netwerken nieuwe veiligheidsrisico’s met zich meebrengt. Naast digitale criminaliteit, dat grotendeels buiten het bestek van dit advies valt, lijkt er sprake van een toename van digitale spionageactiviteiten. Er is echter meer systematisch en kwantitatief onderzoek nodig naar de omvang van de verschillende digitale dreigingsvormen. Aangezien het bij uitstek grensoverschrijdende problematiek betreft en omdat de aanwezige capaciteiten zo het best gebundeld kunnen worden, beveelt de AIV/CAVV aan een dergelijk onafhankelijk onderzoek in EU- en NAVO-verband te initiëren.”

The digital domain is considered to be the ‘fifth dimension’ that may involve military action, next to land, air, sea and space. Based on what political and military aims should operational cybercapabilities be developed and used? What is the nature and role of operational cybercapabilities in military operations?

Original Dutch: “Het digitale domein wordt naast land, lucht, zee en ruimte beschouwd als de ‘vijfde dimensie’ waarin sprake kan zijn van militair optreden. Op grond van welke politieke en militaire doelstellingen moeten operationele cybercapaciteiten worden ontwikkeld en kunnen worden ingezet? Wat is de aard en rol van operationele cybercapaciteiten bij militaire operaties?”

4. It is expected that the digital domain will play an important role in every future conflict. A `cyberwar’, exclusively being fought in the digital domain, and with devastating consequences, is however not likely. Therefore, the more restricted notion of `digital warfare’ will be used in this advice, to be considered as part of a military operation that can also include other (non digital) dimensions.
   Original Dutch: “Het digitale domein zal naar verwachting in elk toekomstig conflict een belangrijke rol spelen. Een ‘cyberoorlog’, die uitsluitend in het digitale domein wordt uitgevochten, en met verwoestende gevolgen, is echter niet aannemelijk. Daarom wordt in dit advies de meer afgebakende term ‘digitale oorlogvoering’ gebruikt, te beschouwen als onderdeel van een militaire operatie die ook andere (niet digitale) dimensies kan omvatten.”
5. Operational cybercapabilities – being part of military power – can contribute to the achievement of a political goal. For the deployment of these capabilities, a clear political framework is essential. The existing national security strategy is nationally oriented. The AIV/CAVV recommends that operational cybercapabilities and developments on this area become part of an integrated strategy for homeland and foreign security policy.
   Original Dutch: “Operationele cybercapaciteiten – deel uitmakend van militair vermogen – kunnen een bijdrage leveren aan het bereiken van een politiek doel. Voor de inzet van deze capaciteiten is een helder politiek kader essentieel. De bestaande nationale veiligheidsstrategie is nationaal gericht. De AIV/CAVV beveelt aan dat operationele cybercapaciteiten en ontwikkelingen op dit gebied een plaats krijgen in een geïntegreerde strategie voor het binnenlands en buitenlands veiligheidsbeleid.”
6. Besides the development of operational cybercapabilities, it is also of importance to invest in a coherent `cyberdiplomacy’, where in response to concrete threats, using expert knowledge, a wide range of measures is considered, varying from political pressure, the use of economic sanctions, the insistence on criminal measures to – ultimately – the use of sanctioned force.
   Original Dutch: “Naast de ontwikkeling van operationele cybercapaciteiten is het tevens van belang te investeren in een samenhangende ‘cyberdiplomatie’, waarbij als reactie op concrete dreigingen met kennis van zaken een breed palet aan maatregelen wordt overwogen, variërend van politieke druk, de inzet van economische sancties, het aandringen op strafrechtelijke maatregelen tot – in laatste instantie – het gebruik van gesanctioneerd geweld.”
   
7. The use of cybercapabilities should serve to assist the main tasks of the armed forces. This use can be related to the security of own defense systems, the gathering of intelligence and digital attacks aimed at the disruption, damaging or destruction of computers and networks of the adversary.
   Original Dutch: “De inzet van cybercapaciteiten dient ten dienste te staan van de hoofdtaken van de krijgsmacht. Deze inzet kan betrekking hebben op de beveiliging van de eigen defensiesystemen, het vergaren van inlichtingen en digitale aanvallen gericht op het verstoren, beschadigen of vernietigen van computers en netwerken van de tegenstander.”
8. Although digital weapons are characterized by the small size of material investment, the development of a technically complex attack requires specialized knowledge. Digital weapons have a limited shelf life, their use often entails indirect effects and the attacker is difficult to trace. It is however certainly possible to establish the identity of the attacker via non-technical attribution.
   Original Dutch: “Digitale wapens worden weliswaar gekenmerkt door geringe materiële instapkosten, maar de ontwikkeling van een technisch complexe aanval vereist gespecialiseerde kennis. Digitale wapens kennen een beperkte houdbaarheidsduur, de inzet ervan brengt veelal indirecte effecten met zich mee en de aanvaller is moeilijk herleidbaar. Het kan echter zeker mogelijk zijn om mede door het gebruik van niet-technische attributie de identiteit van de aanvaller vast te stellen.”
9. The AIV/CAVV recommends that – considering the technological developments – it is reviewed whether the current separation in the Dutch Intelligence and Security Services Act (WIV) between wired and wireless data needs to be maintained.
   Original Dutch: “De AIV/CAVV beveelt aan dat – gezien de technologische ontwikkelingen – wordt bezien of het huidige onderscheid in de Wet- op de Inlichtingen en Veiligheidsdiensten (WIV) tussen kabelgebonden en niet-kabelgebonden data gehandhaafd moet blijven.”
10. With good reasons WIV does not permit that an intelligence service used a placed exploit for a network attack with military intention that has the change or destruction of a system as intended purpose. Such an attack ought to take place under responsibility of the Chief of Defense (CDS), after obtained political approval. It is necessary within the armed forces to establish clear procedural agreements that follow from this separation of duty.
    Original Dutch: “Het is om goede redenen op basis van de WIV niet toegestaan dat een inlichtingendienst een geplaatste exploit gebruikt voor een netwerkaanval met een militair oogmerk, die het wijzigen of beschadigen van een systeem tot doel heeft. Een dergelijke aanval dient onder verantwoordelijkheid van de Commandant der Strijdkrachten (CDS) plaats te vinden, na verkregen politieke toestemming. Het is noodzakelijk binnen de krijgsmacht ook op digitaal terrein duidelijke procedurele afspraken te maken, die volgen uit deze functiescheiding.”
    
11. In conducting military operations it can be decided to also use digital attacks. In essence it is about the use of a means – digital capabilities – from the toolbox of military means that can contribute to achieving a political target. The operational use of cybercapabilities, which ought to take place in agreement with legal frameworks, is limited by technical features of digital weapons and the available knowledges within the armed forces. The AIV/CAVV therefore recommends to currently use the scarce means only at limited scale for the development of offensive capabilities and to emphasize the improving of the defense of the own networks and the building of an adequate digital intelligence capability.
    Original Dutch: “Bij het uitvoeren van militaire operaties kan er voor worden gekozen ook gebruik te maken van digitale aanvallen. In essentie gaat het om de inzet van een middel – digitale capaciteit – uit de toolbox van militaire middelen die een bijdrage kunnen leveren aan het bereiken van een politiek doel. De operationele inzet van cybercapaciteiten, die overeenkomstig de juridische kaders dient plaats te vinden, wordt begrensd door de technische kenmerken van digitale wapens en de beschikbare kennis binnen de krijgsmacht. De AIV/CAVV beveelt daarom aan om vooralsnog de schaarse defensiemiddelen slechts op beperkte schaal in te zetten voor het ontwikkelen van offensieve capaciteiten en de nadruk te leggen op het verbeteren van de verdediging van de eigen netwerken en het opbouwen van een adequate inlichtingencapaciteit op digitaal gebied.”
12. Also due to the scarce technical knowledge and capabilities, a more decompartmentalized approach is advocated within the Dutch National Cyber Security Centre that is operational since January 2012. In time, the centre could develop to a sort of national CERT that performs the aggregated monitoring of vital networks, making increased use of the capabilities at GOVCERT.NL, MIVD, AIVD, KLPD and sometimes supplemented by commercial and scientific organizations. In addition, with respect to the intelligence function, further cooperation between AIVD and MIVD is possible. The AIV/CAVV recommends that the available capital intensive and knowledge intensive signals intelligence (SIGINT) and cybercapabilities are accommodated in a common unit.
    Original Dutch: “Mede gezien de schaarse technische kennis en capaciteiten wordt een nog meer ontkokerde aanpak binnen het per januari 2012 operationele Nationaal Cyber Security Centrum bepleit. Het centrum zou zich op termijn kunnen ontwikkelen tot een soort nationale CERT die de geaggregeerde monitoring van vitale netwerken voor zijn rekening neemt, meer gebruikmakend van capaciteit die nu aanwezig is bij GOVCERT.NL, MIVD, AIVD, KLPD en soms wordt aangevuld door commerciële en wetenschappelijke organisaties. Verder is ten aanzien van de inlichtingentaak verdergaande samenwerking tussen de AIVD en de MIVD mogelijk. De AIV/CAVV beveelt aan om de beschikbare kapitaal- en kennisintensieve signals intelligence (SIGINT) en cybercapaciteiten in een gezamenlijke eenheid onder te brengen.”

Under what circumstances can a cyberthreat be considered to be the threat or use of force in the sense of Article 1, clause 4 of the UN Charter? [That is: “All Members shall refrain in their international relations from the threat or use of force against the territorial integrity or political independence of any state, or in any other manner inconsistent with the Purposes of the United Nations.”]
Under what cirumstances can a cyberattack be considered to be an armed attack against which force can be used in self-defense based on Article 51 of the UN Charter? [That is: “Nothing in the present Charter shall impair the inherent right of individual or collective self-defence if an armed attack occurs against a Member of the United Nations, until the Security Council has taken measures necessary to maintain international peace and security. Measures taken by Members in the exercise of this right of self-defence shall be immediately reported to the Security Council and shall not in any way affect the authority and responsibility of the Security Council under the present Charter to take at any time such action as it deems necessary in order to maintain or restore international peace and security.”]
Original Dutch: “Onder welke omstandigheden kan een cyberdreiging worden beschouwd als het gebruik van geweld of een dreiging hiermee, in de zin van artikel 2 lid 4 van het VN-Handvest? Onder welke omstandigheden kan een cyberaanval worden beschouwd als een gewapende aanval waartegen geweld mag worden gebruikt ter zelfverdediging op basis van artikel 51 van het VN-Handvest?”

13. Article 2, clause 4 of the UN Charter forbids the threat and use of force in international relations. The ban includes armed violence that has a real or potentially physical effect on the target state. The ban, however, also relates to other forms of violence that have resulted or could have resulted in death, injury of damage to property or infrastructure.
    Original Dutch: “Artikel 2 lid 4 van het Handvest van de Verenigde Naties verbiedt het gebruik of dreigen met het gebruik van geweld in internationale betrekkingen. Onder het verbod valt gewapend geweld met een feitelijk of mogelijk fysiek effect op de staat die het doelwit is. Het verbod heeft echter ook betrekking op andere vormen van geweld die hebben geleid of hadden kunnen leiden tot dood, letsel of schade aan goederen of infrastructuur.”
14. The use of force in self-defense based on Article 51 of the UN Charter is, according to international law, an exceptional measure, that in armed digital attacks is justified only in situations that transcend the threshold of digital crime or espionage. Before a digital attack justifies the right to self-defense, its consequences must be comparable to that of a conventional armed attack. When a digital attack results in substantial number of deadly victims [sic] or large-scale destruction of or damage to vital infrastructure, military platforms or installations of civil property, this must be equated to an ‘armed attack’.
    Original Dutch: “Het gebruik van geweld in het kader van zelfverdediging op basis van artikel 51 van het VN Handvest is volgens het internationaal recht een uitzonderlijke maatregel, die bij gewapende digitale aanvallen slechts gerechtvaardigd wordt in situaties die uitstijgen boven de drempel van digitale criminaliteit of spionage. Voordat een digitale aanval het recht tot zelfverdediging rechtvaardigt, moet deze gevolgen hebben die vergelijkbaar zijn met die van een conventionele gewapende aanval. Wanneer een digitale aanval leidt tot een aanmerkelijk aantal dodelijke slachtoffers of grootschalige vernietiging van of schade aan vitale infrastructuur, militaire platforms of installaties of civiele goederen, moet deze gelijk gesteld worden met een ‘gewapende aanval’.”
15. An organized digital attack aimed at essential functions of the state must, also when it does not result in physical damage or injury, but potentially or actually results in severe disruption of the functioning of the state or severe and prolonged consequences for the stability of the state, be earmarked as an ‘armed attack’ in the sense of Article 51 of the UN Charter. There must be (persistent attempt to) disruption of the state and/or society and not merely an obstruction or delay of the normal performance of tasks.
    Original Dutch: “Een georganiseerde digitale aanval op essentiële functies van de staat moet, ook wanneer deze geen fysieke schade of letsel tot gevolg heeft, maar mogelijk of daadwerkelijk leidt tot ernstige verstoring van het functioneren van de staat of ernstige en langdurige gevolgen voor de stabiliteit van de staat, worden aangemerkt als een ‘gewapende aanval’ in de zin van artikel 51 van het VN-Handvest. Hierbij moet dan sprake zijn van een (aanhoudende poging tot) ontwrichting van de staat en/of de samenleving en niet slechts een belemmering of vertraging bij het normaal uitvoeren van taken.”
16. The use of force in response to a digital attack must meet the requirements of necessity and proportionality in exercising the right of self-defense. The measures must be aimed at ending the attack and preventing its repetition in the near future, and there must not exist usable alternative means.
    Original Dutch: “Het gebruik van geweld naar aanleiding van een digitale aanval moet voldoen aan de vereisten van noodzakelijkheid en proportionaliteit ten aanzien van de uitoefening van het recht tot zelfverdediging. De maatregelen moeten gericht zijn op het beëindigen van de aanval en het voorkomen van herhaling ervan in de nabije toekomst en er moeten geen bruikbare alternatieven zijn.”
17. The principle of proportionality does not require that a response to an attack is of the same nature as the attack itself. A digital attack that meets the requirements of an armed attack can justify a response with conventional armed means.
    Original Dutch: “Het principe van proportionaliteit vereist niet dat een respons op een aanval van dezelfde aard is als de aanval zelf. Een digitale aanval die voldoet aan de voorwaarden van een gewapende aanval kan een respons met conventionele gewapende middelen rechtvaardigen.”
18. Taking measures against digital aggression is only lawful if sufficient certainty exists about the origin and source of the attack.
    Original Dutch: “Het treffen van maatregelen tegen digitale agressie is voorts uitsluitend rechtmatig indien er een voldoende mate van zekerheid bestaat omtrent de herkomst en bron van de aanval.”

When does humanitarian law apply to behavior in the digital domain? Must it be coherent with kinetic use of force? In such an application, how should the principles of distinction and proportionality be shaped, and the obligation to take precautionary measures?
Original Dutch: “Wanneer is er sprake van toepasselijkheid van het humanitair oorlogsrecht op gedragingen in het digitale domein? Moeten deze samenhangen met kinetisch geweldsgebruik? Hoe zou bij een dergelijke toepassing gestalte moeten worden gegeven aan de oorlogsrechtelijke principes van onderscheid en proportionaliteit, en aan de verplichting tot het nemen van voorzorgsmaatregelen?

19. Humanitarian law only applies in context of armed conflict, at the international or non-international level. Cyberoperations that do not cross the threshold of armed conflict are therefore outside the scope of applicability of humanitarian law.
    Original Dutch: “Het humanitair oorlogsrecht is alleen van toepassing in de context van een gewapend conflict, in internationaal of niet-internationaal verband. Cyberoperaties waarbij de drempel van een gewapend conflict niet wordt overschreden, vallen derhalve buiten het toepassingsveld van het humanitair oorlogsrecht.”
20. Digital attacks that are more than sporadic, isolated armed incidents and (can) result in loss of human life, injury, destruction or prolonged damage to physical objects, can be qualified as armed conflict in the sense of humanitarian law. This primarily applies to digital attacks that are conducted in combination with a kinetic attak. It also applies, however, to a digital attack that – without the use of kinetic means of warfare – result in destruction or prolonged and severe damage to computer systems for administration of critical military or civil infrastructure, or that seriously affect the state’s ability to perform essential government functions and thereby damage the economical or financial stability of the state and its population.
    Original Dutch: “Digitale aanvallen die meer zijn dan sporadische, geïsoleerde gewapende incidenten en die resulteren in verlies van mensenlevens, letsel, vernietiging of langdurige schade aan fysieke objecten tot gevolg (kunnen) hebben, kunnen worden gekwalificeerd als gewapend conflict in de zin van het humanitair oorlogsrecht. Dit is in de eerste plaats het geval bij digitale aanvallen die in combinatie met een kinetische aanval worden uitgevoerd. Dit geldt echter ook voor een digitale aanval die – zonder de inzet van kinetische middelen van oorlogvoering – leidt tot vernietiging of langdurige en ernstige schade aan computersystemen voor het beheer van kritieke militaire of civiele infrastructuur, of die het vermogen van de staat om essentiële overheidsfuncties te vervullen ernstig aantast en daarbij ernstige en langdurige schade toebrengt aan de economische of financiële stabiliteit van de staat en zijn bevolking.”
21. In every armed conflict, both at international and non-international levels, rules to the conduct of hostilities apply to the use of all sorts, means and methods of warfare, including means and methods of digital nature. These rules comprise among others the foundations of distiction, proportionality and the taking of precautionary measures. Furthermore, a ban applies on the use of a protected or neutral status with the intent to attack and to abuse such a status, including the IP-identity [?], as shield against an attack.
    Original Dutch: “In ieder gewapend conflict, zowel in internationaal als niet-internationaal verband, zijn de regels inzake het voeren van vijandelijkheden van toepassing op het gebruik van alle soorten, middelen en methoden van oorlogvoering, inclusief middelen en methoden van digitale aard. Deze regels betreffen onder meer de beginselen van onderscheid, proportionaliteit en het nemen van voorzorgsmaatregelen. Verder geldt er een verbod op het voorwenden van een beschermde of neutrale status met het oogmerk aanvallen uit te voeren en het misbruiken van een dergelijke status, waaronder de IP-identiteit, als schild tegen een aanval.”

How should the international legal concepts of sovereignty and neutrality be shaped in the cyberdomain?
Original Dutch: “Hoe zou in het cyberdomein gestalte moeten worden gegeven aan de volkenrechtelijke begrippen soevereiniteit, neutraliteit?”

22. The right of neutrality applies to the use of digital weapons and methods of warfare. It basically prevents the use by belligerent parties of computers or computer systems located on neutral territory, insofar as possible, as well as attacks aimed at computernetworks or information systems located on neutral territory. It enables a neutral state to prevent a belligerent party from using computers and information systems that are located on their territory or jurisdiction. The sole transmission of data via a part of the internet located on neutral territory does however not result in violation or loss of neutrality.
    Original Dutch: “Het neutraliteitsrecht is van toepassing bij de inzet van digitale wapens en methoden van oorlogvoering. Het belet in principe het gebruik door belligrente partijen van computers of computersystemen die zich op neutraal grondgebied bevinden, voor zover dit mogelijk is, evenals aanvallen op computernetwerken of informatiesystemen op neutraal terrein. Het staat een neutrale staat toe een oorlogvoerende partij te verhinderen gebruik te maken van computers en informatiesystemen die zich op zijn grondgebied bevinden of onder zijn rechtsmacht vallen. De enkele doorgifte van gegevens via een op neutraal grondgebied gelegen deel van internet levert echter geen schending of verlies van de neutraliteit op.”

To what extent can international standards of conduct about the use of the digital domain effectively contribute to the improvement of cybersecurity? Can we learn from experiences with existings codes of conduct, for example related to nonproliferation?
Original Dutch: “In hoeverre kunnen internationale gedragsnormen over het gebruik van het digitale domein een effectieve bijdrage leveren aan het vergroten van cyber security? Kunnen we lering trekken uit ervaringen met bestaande gedragscodes, bijvoorbeeld op het gebied van nonproliferatie?”

23. Standards of conduct can relate to the protection of networks, judicial cooperation, the application of international law and mutual information provisioning. It is important to broaden the scope of existing agreements within the Council of Europe’s Convention on Cybercrime (2001). It is important that the convention states that countries ought to prosecute or extradite groups or individuals guilty of committing digital crime in third countries from the territory belonging to the involved state. This provides possibilities to address illegal activities, such as largescale blackmarket trade in malware and identity data. Above it has been concluded that existing international law applies to the digital domain regarding requirements for the use of force, war law and principles of sovereignty and neutrality. Therefore it is not necessary to establish a special `cybertreaty’. In the opinion of AIV/CAVV, though, an important empowering effect would result from states elaborating on these principles via an international code of conduct or a declaration.
    Original Dutch: “Gedragsnormen kunnen betrekking hebben op de bescherming van netwerken, strafrechtelijke samenwerking, de toepassing van het internationaal recht en wederzijdse informatievoorziening. Het is van belang de bestaande afspraken binnen het kader van de Raad van Europa Conventie inzake Cybercrime een bredere reikwijdte te geven. Belangrijk is dat de conventie stelt dat landen dienen over te gaan tot vervolging of uitlevering van groepen of individuen die zich schuldig maken aan digitale criminaliteit in derde landen vanaf het grondgebied van de staat in kwestie. Dit biedt aanknopingspunten om illegale activiteiten, zoals grootschalige zwarte handel in malware en identiteits gegevens, aan te pakken. Hierboven is geconcludeerd dat het bestaande internationaal recht van toepassing is op het digitale domein waar het gaat om de voorwaarden van geweldsgebruik, het oorlogsrecht en principes van soevereiniteit en neutraliteit. Het is daarom niet noodzakelijk hiervoor een speciaal ‘cyberverdrag’ op te stellen. Wel is de AIV/CAVV van mening dat er een belangrijke versterkende werking vanuit zou gaan indien staten aan deze principes door middel van een internationale gedragscode of verklaring nadere uitwerking zouden geven.”
24. Generally speaking, the private sector could take more responsibility for the protection of the critical infrastructure it operates. This could be promoted by better regulation of (financial) liability of companies. Also, it ought to be ensured that basic services are guaranteed in case of partial failure of critical infrastructure.
    Original Dutch: “In algemene zin zou de private sector meer verantwoordelijkheid kunnen nemen voor de bescherming van de kritieke infrastructuur die het beheert. Dit zou kunnen worden bevorderd door de (financiële) aansprakelijkheid van bedrijven op dit punt beter te regelen. Ook dient te worden gewaarborgd dat een minimum aan dienstverlening is gegarandeerd bij gedeeltelijke uitval van kritieke infrastructuur.”
25. It is striking that the Dutch administration is – justly – very active on the terrain of freedom of expression on internet, but less involved in global discussion about the establishment of norms aimed at conflict management on digital terrain. The AIV/CAVV recommends that the Netherlands starts participating in initiatives aimed at the establishment of norms on this terrain such as Group of Governmental Experts that is to be established again by the Secretary-General of the United Nations .
    Original Dutch: “Het valt op dat waar de Nederlandse regering – met recht – erg actief is op het terrein van de vrijheid van meningsuiting op internet, de Nederlandse betrokkenheid tot op heden minder groot is bij mondiaal overleg gericht op het formuleren van normen met als doel conflictbeheersing op digitaal gebied. De AIV/CAVV beveelt aan dat Nederland zich als deelnemer aansluit bij initiatieven die het formuleren van normen op dit terrein tot doel hebben zoals een wederom door de SGVN in te stellen Group of Governmental Experts.”
26. Neither possibility nor necessity exists for establishing a global non-proliferation regime. Important differences exist between WMDs and digital `weapons’.  Insufficient possibilities exist for establishing and enforcing export restrictions on digital technology and software in protection of one’s own military and civil digital infrastructure.
    Original Dutch: “Er is noch de mogelijkheid noch de noodzaak tot het overeenkomen van een wereldwijd non-proliferatieregime. Er zijn belangrijke verschillen tussen massavernietigingswapens en digitale ‘wapens’. Er zijn evenmin voldoende aanknopingspunten voor het instellen en afdwingen van beperkingen aan de uitvoer van bepaalde digitale technologie en software ter bescherming van de eigen militaire en civiele digitale infrastructuur.”

How can NATO and EU give specific meaning to the principles of common defense, deterrence and the solidarity clause regarding cyberthreats? How can NATO and EU improve information exchange for the purpose of threat analysis?
Original Dutch: “Hoe kunnen de NAVO en de EU concreet inhoud geven aan de principes van common defence, deterrence en de solidariteitsclausule ten aanzien van cyberdreigingen? Hoe kunnen de NAVO en de EU de informatie-uitwisseling ten behoeve van dreigingsanalyses verbeteren?”

27. It is expected that NATO will only be able to develop modest offensive digital capabilities for the protection of their own systems and networks, or active defense. The conventional and nuclear means in possession of individual NATO countries already have a deterring effect. In future NATO operations, offensive digital capabilities of individual member states could be used though.
    Original Dutch: “De NAVO zal naar verwachting slechts bescheiden offensieve digitale capaciteiten kunnen ontwikkelen ter bescherming van de eigen systemen en netwerken, ofwel in het kader van de actieve verdediging. Van de conventionele en nucleaire middelen waarover afzonderlijke NAVO-landen beschikken gaat al een afschrikwekkende werking uit. Bij toekomstige NAVO-operaties kunnen wel offensieve digitale capaciteiten van de afzonderlijke lidstaten worden ingezet.”
28. It is necessary that coherency is increased between activities related to digital security of the various Directorates-General of the European Commission – including Home Affairs (HOME), Information Society and Media (INFSO), Justice (JUST) and Internal Market and Services (MARKT) – as well as the European External Action Service (EEAS), by implementing a joint strategy.
    Original Dutch: “Het is noodzakelijk dat er meer samenhang komt in de activiteiten op het terrein van digitale veiligheid van de verschillende directoraten-generaal van de Europese Commissie – waaronder Binnenlandse Zaken (HOME), Informatiemaatschappij en media (INFSO), Justitie (JUST) en Interne Markt en Diensten (MARKT) – evenals EDEO, door uitvoering te geven aan een gezamenlijke strategie.”
29. Article 4 and 5 of the UN Charter can relate to attacks in the digital domain. Article 5 is formulated so generally that it can be considered to apply to every form of armed violence. The less far-reaching Article 4 can apply to digital attacks that affect national security but don’t yet exceed the threshold of an armed attack. It is expected that in practice, in case of digital attacks, Article 4 is more likely to be invoked.
    Original Dutch: “Artikel 4 en 5 van het NAVO-verdrag kunnen betrekking hebben op aanvallen in het digitale domein. Artikel 5 is dermate algemeen geformuleerd dat hier alle vormen van gewapend geweld onder kunnen worden geschaard. Het minder verstrekkende artikel 4 kan van toepassing zijn op digitale aanvallen die raken aan de nationale veiligheid maar nog niet de drempel van een gewapende aanval overschrijden. Naar verwachting zal er in praktijk bij digitale aanvallen eerder een beroep op dit artikel 4 worden gedaan.”
30. The EU Solidarity Clause (Article 42.7 of the Treaty on the Functioning of the European Union (.pdf)) will probably be used primarily for political endorsements. The EU can, however, fulfill a leading role in promoting digital security in the private sector of member states.
    Original Dutch: “De bijstandsclausule van de EU (artikel 42.7 van het EU-Verdrag) zal waarschijnlijk vooral worden aangewend ten behoeve van politieke steunbetuigingen. De EU kan wel een leidende rol vervullen bij het bevorderen van de digitale beveiliging in de private sector van de lidstaten.”
31. Information exchange between EU and NATO related to digital security confronts the same familiar institutional barriers as the cooperation between both organizations on different areas. An addition problem is that potential information provisioning in the first period will mostly show to be one-way traffic, because both policy-making and capabilities of the EU on the area of Common Foreign and Security Policy and cyber are limited. For now, informal exchange of intelligence between member states of EU and NATO, taking into account privacy regulations, should be exploited as much as possible.
    Original Dutch: “Informatie-uitwisseling tussen de EU en de NAVO op het terrein van digitale veiligheid loopt tegen dezelfde bekende institutionele belemmeringen aan als de samenwerking tussen beide organisaties op andere terreinen. Bijkomend probleem is dat mogelijke informatievoorziening de eerstkomende periode vooral eenrichtingsverkeer zal blijken, aangezien zowel de beleidsvorming als de capaciteiten van de EU op het terrein van het GBVB en cyber beperkt zijn. Informele inlichtingenuitwisseling tussen de staven [sic] van de EU en NAVO, met inachtneming van de privacyregels, moet vooralsnog zoveel als mogelijk worden benut.”

EOF.